Ciberseguridad para pymes y autónomos: cómo protegerte de ataques

Ciberseguridad para pymes y autónomos: cómo protegerte de ataques

PORTADA CIBERSEGURIDAD PYMES Y AUTÓNOMOSEn artículos anteriores de nuestro blog ya comentábamos que todas las empresas (grandes, medianas y pequeñas) están expuestas a la ciberdelincuencia. Pero, las pymes y los autónomos son objetivos más fáciles que las grandes compañías porque suelen estar menos protegidos.

La falta de protección es muchas veces consecuencia de la falta de información y concienciación. Según el Instituto Nacional de Ciberseguridad (INCIBE), las pymes son las menos sensibilizadas con este tema, a pesar de que el volumen de ataques a este tipo de empresas se ha incrementado de forma alarmante: se prevé que en nuestro país se gestionen unos 100.000 ciberataques este año (el doble que en 2015) y, de ellos, el 70% irán dirigidos a la pequeña y mediana empresa.

La realidad demuestra que la mayor parte de estas compañías no tomarán conciencia de la importancia de la ciberseguridad y del peligro que corren hasta que no hayan sufrido un ataque (algo que pasará casi seguro en un corto plazo de tiempo).

¿Por qué atacan a las pymes?

Hoy en día la información vale mucho y cualquier organización posee datos muy cotizados en el mercado negro. Los ciberdelincuentes pueden vender esos datos (números de cuentas bancarias, usuarios y contraseñas, tarjetas de crédito, etc.) y han encontrado un filón en las pymes.

DESCARGAS

El acceso a webs poco seguras, las descargas de programas y el malware recibido por email suelen ser la causa en la mayoría de estos ataques informáticos. Otras prácticas como el ciberespionaje, el fraude de los empleados, las intrusiones en la red y los fallos de terceros también ocasionan graves problemas a las empresas.

Uno de los ataques más extendido es el phishing: se hace picar a uno o más empleados de la empresa a través de, por ejemplo, un correo electrónico infectado. De esta forma, se infectan los sistemas y se cifra la información. Los ciberdelincuentes saben que este tipo de empresas no cuentan con las medidas de prevención y pagarán por recuperar esos datos, que son de vital importancia para ellos. Pero, cuidado, en la mayor parte de los casos no te devuelven la información y, si no había copia de seguridad, el problema se multiplica.

Cómo protegerse de los ciberataques

Contratar a una empresa de ciberseguridad como Secure&IT es el principio. Además, hay que formar y concienciar a aquellos que manejan la información, si no el esfuerzo no sirve de nada. Las personas son el eslabón más débil de la cadena de ciberseguridad, por eso es necesario transmitir a los empleados que la seguridad empieza por cada uno de ellos.

Es preciso en entender que, de la misma forma que cuando tienes un coche (personal o de empresa), te aseguras de haber hecho las revisiones necesarias, cambiar los neumáticos o pagar un seguro, en ciberseguridad debes preocuparte de seguir los protocolos y políticas establecidos.

Partiendo de esa base, ahí van algunos consejos que te ayudarán a protegerte de los ciberdelincuentes:

  • En qué situación nos encontramos

Es importante conocer cuál es nuestra situación con respecto a la ciberseguridad. Por eso, debemos hacernos una serie de preguntas: ¿Cómo estoy? ¿En qué punto me encuentro? Para conocer con exactitud estos datos es necesario analizar los puntos débiles, hacer una auditoría de seguridad o un hacking ético. En este sentido, debemos contar con expertos como Secure&IT, que nos ayudarán a conocer cuáles son nuestras vulnerabilidades. Por supuesto, después del análisis hay que establecer un plan que nos permita conseguir nuestros objetivos.

Por cierto, en la parte inferior de la web de Secure&IT encontrarás un formulario para auditar tu página web de forma gratuita.

  • Cumplimiento legalLEGISLACIÓN

Es necesario conocer y cumplir la legislación vigente sobre gestión de la información en el ámbito tecnológico. En España, está compuesta por la Ley de Protección de Datos (LOPD) y su reglamento de desarrollo, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y la Ley de Propiedad Intelectual (LPI). Cada una de ellas protege y regula un aspecto diferente de la gestión de la información en el ámbito TIC.

– La Ley de Protección de Datos (LOPD) define lo que es un dato de carácter personal y regula cómo protegerlos correctamente. ¿Almacenas y gestionas datos de clientes? Pues debes cumplir con lo estipulado en esta ley e implantar las medidas de seguridad oportunas, según el tipo de datos que gestiones (de nivel básico, medio o alto) y el tratamiento que hagas de ellos.

– La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) regula las obligaciones y responsabilidades de los prestadores de servicios en el ámbito tecnológico. ¿Prestas servicios de compra o reserva online? En ese caso, también debes cumplir con esta ley: tienes que adaptar el contenido de tu página e incluir la información necesaria (por ejemplo, las condiciones generales de contratación).

– La Ley de Propiedad Intelectual (LPI) regula los derechos de los autores de una obra literaria artística o científica derivados de su creación. Solemos relacionar esta ley con la música o los libros, pero se aplica en todos los ámbitos. ¿Utilizas algún software determinado? Entonces, deberás pedir la autorización de los derechos de propiedad, pagar los cánones necesarios para utilizarlo y evitar el uso de copias ilegales (piratas).

Si nuestra empresa incurre en algún tipo de incumplimiento legal podría traernos consecuencias: sanciones económicas, prisión o inhabilitación profesional para el responsable de la infracción y, por supuesto, pérdida de reputación.

Además, debes saber que ha entrado en vigor una nueva Normativa Europea sobre Protección de Datos. Tendrás hasta 2018 para adecuarte a ella pero, si a partir de entonces, no has llevado a cabo los cambios necesarios, podrás ser sancionado.

  • Cuestiones prácticas

En este punto, lo mejor es apelar al sentido común. Puede parecer algo muy obvio, pero ante ciertas propuestas y ofertas perdemos la prudencia y nos olvidamos de la lógica. ¿Has recibido algún mail o mensaje en el que un millonario te había nombrado su único heredero? ¿Alguien, desde un número extraño, te ha enviado un SMS porque quiere contactar contigo por Whatsapp y no puede? ¡Sospecha! Nadie regala nada porque sí, ni se complica tanto para contactar con una persona. Tanto online como offline, hay que estar alerta y aplicar el sentido común para estar protegidos. Además de eso, puedes seguir unas pautas que reforzarán tu seguridad:

Haz copias de seguridad. Es muy importante contar con unidades de red (carpetas compartidas) en los dispositivos de la empresa y hacer copia de seguridad de las mismas. La mejor forma de evitar la pérdida de información es poner ahí todos los datos y documentos y asegurarnos de que existe copia actualizada. Si por cualquier motivo tienes algo no alojado en red (documentos temporales, por ejemplo), recuerda que es muy importante que hagas una copia de seguridad de ello, o te arriesgas a perder toda esa información.

Gestiona tus contraseñas de forma segura. Debes aplicar una serie de medidas básicas cuando configuras tus contraseñas: nunca utilices la misma contraseña en distintos sitios (piensa que si en una tienda online pones tu dirección de correo electrónico y una contraseña y es la misma que usas para el correo, estarás cediendo tu correo y su contraseña a un tercero, que puede que no sea tan de fiar como parece); utiliza contraseñas seguras, que contengan minúsculas, mayúsculas, símbolos no alfanuméricos y al menos ocho caracteres; cambia tus contraseñas habitualmente, te lo exija o no el sistema; y utiliza un gestor de contraseñas para evitar olvidarlas.

CONTRASEÑAS
 

Mantén tu escritorio limpio: hablamos de “higiene para la seguridad”. La mayoría de los escritorios contienen documentos con información referente a la empresa que no debería ser vista por terceros, ni caer en las manos equivocadas (y no nos referimos solo al contenido en formato impreso). Tu mesa de trabajo debe estar limpia y ordenada, y en ningún caso deben quedar documentos o información confidencial sobre ella. Cuando no estés en el escritorio: bloquea el ordenador, guarda tu agenda, bloquea el teléfono móvil, guarda las carpetas y documentos y elimina los post-its que contengan contraseñas o datos sensibles. Tampoco debes dejar tarjetas de acceso o llaves. Y, por supuesto, si utilizas pizarras en las reuniones, no olvides borrarlas al terminar.

Elimina la información confidencial correctamente: en caso de tener que deshacerte de documentación impresa, es necesario que utilices la destructora de papel o los contenedores destinados a este tipo de información. Así evitarás que pueda ser recuperada por un usuario no autorizado.

Protege los dispositivos también fuera de la oficina. En este caso, nos referimos a la información que desplaces físicamente. Los equipos portátiles deberían tener cifrados la partición de sistema y aquellos volúmenes donde se almacene información confidencial. Además, solo deberías transportar información confidencial o de uso interno en dispositivos de almacenamiento (llaves USB’s, discos duros portátiles, etc.) cuando sea estrictamente necesario. Por supuesto, si se hace, debería ir en volúmenes cifrados para evitar accesos no autorizados.

WIFI GRATISEn este punto, también es conveniente mencionar el uso de las wifi públicas. Cuando nos conectamos a este tipo de red desconocemos quién es el administrador o qué medidas de seguridad utiliza para impedir acciones malintencionadas de otros usuarios conectados (robo de datos transmitidos, robo de datos almacenados en el equipo, infección de los dispositivos,  etc.). Tomar precauciones antes de conectarte a una red wifi pública y tratar de evitar las gratuitas deberían ser dos de tus máximas. Por supuesto, nunca debemos utilizar redes no confiables para acceder a servicios donde se intercambie información sensible: información bancaria, recursos corporativos, correo electrónico o acceso a las redes sociales.

Si necesitas más información a este respecto, podrás encontrar otros consejos en anteriores artículos de nuestro blog.

Además de evitar pérdidas económicas o sanciones, proteger la información genera confianza en clientes, proveedores y colaboradores. Es decir, que la ciberseguridad sea uno de los valores de tu empresa es un elemento diferenciador muy valorado. Tenlo en cuenta.

¿Has sufrido algún ataque? ¿Tienes dudas y necesitas asesoramiento? No dudes en contactar con nosotros, te ayudaremos a solucionar tus problemas.

Comments

Comentarios desactivados